Fiosrachadh air fhoillseachadh mu dhà chugallachd anns an t-sreath oifis an-asgaidh LibreOffice, agus am fear as cunnartaiche dhiubh a dh’ fhaodadh còd a chuir an gnìomh nuair a dh’ fhosglas tu sgrìobhainn a chaidh a dhealbhadh gu sònraichte. Chaidh a’ chiad so-leòntachd a shuidheachadh gun cus follaiseachd ann an fiosan a’ Mhàirt de 7.4.6 agus 7.5.1, agus an dàrna fear anns na h-ùrachaidhean sa Chèitean de LibreOffice 7.4.7 agus 7.5.3.
Is dòcha gu bheil a’ chiad so-leòntachd (CVE-2023-0950) a’ leigeil le còd a chuir gu bàs air an t-siostam nuair a dh’ fhosglas tu cliath-dhuilleag a tha a’ toirt a-steach foirmlean a chaidh atharrachadh gu sònraichte, leithid AGGREGATE, anns a bheil nas lugha de pharamadairean air an toirt seachad na bha dùil. Tha an duilgheadas air adhbhrachadh le fo-shruth clàr-amais rèite (fo-shruth) anns a’ chòd parsaidh foirmle (ScInterpreter) a thathar a’ cleachdadh ann an giullachd dhuilleagan-clèithe.
Tha an dàrna so-leòntachd (CVE-2023-2255) a’ leigeil le neach-ionnsaigh sgrìobhainn sònraichte ullachadh a bhios, nuair a thèid fhosgladh gun bhrosnachadh no rabhadh, a’ luchdachadh ceanglaichean taobh a-muigh, nach eil a’ freagairt ri giùlan ainmichte LibreOffice, a tha a’ ciallachadh rabhadh nuair a thèid a luchdachadh. susbaint co-cheangailte. Tha a’ chùis air adhbhrachadh le bug sa chòd iarrtas cead nuair a thathar a’ cleachdadh an uidheamachd “Floating Frames”, a tha coltach ri iframe ann an HTML agus a leigeas le susbaint nam faidhlichean a-muigh a bhith air an toirt a-steach don sgrìobhainn gu dinamach.
Source: fosgailtenet.ru
